Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Devolutions Remote Desktop Manager (CVE-2024-11671)
Fecha de publicación:
25/11/2024
Idioma:
Español
La autenticación incorrecta en la validación de MFA de la fuente de datos SQL en Devolutions Remote Desktop Manager 2024.3.17 y versiones anteriores en Windows permite que un usuario autenticado omita la validación de MFA a través del cambio de fuente de datos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/03/2025

Vulnerabilidad en Devolutions Remote Desktop Manager (CVE-2024-11672)
Fecha de publicación:
25/11/2024
Idioma:
Español
La autorización incorrecta en el componente de agregar permiso en Devolutions Remote Desktop Manager 2024.2.21 y versiones anteriores en Windows permite que un usuario malintencionado autenticado omita el permiso "Agregar" a través de la función de importación en bóveda.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/03/2025

Vulnerabilidad en Devolutions Remote Desktop Manager (CVE-2024-11670)
Fecha de publicación:
25/11/2024
Idioma:
Español
La autorización incorrecta en el componente de validación de permisos de Devolutions Remote Desktop Manager 2024.2.21 y versiones anteriores en Windows permite que un usuario autenticado malintencionado eluda el permiso "Ver contraseña" mediante acciones específicas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/03/2025

Vulnerabilidad en LibJXL (CVE-2024-11403)
Fecha de publicación:
25/11/2024
Idioma:
Español
Existe una lectura/escritura fuera de los límites en las versiones de LibJXL anteriores a el commit 9cc451b91b74ba470fd72bd48c121e9f33d24c99. El decodificador JPEG utilizado por el codificador JPEG XL al realizar la recompresión JPEG (es decir, si se utiliza JxlEncoderAddJPEGFrame en una entrada no confiable) no verifica correctamente los límites en presencia de códigos incompletos. Esto podría provocar una escritura fuera de los límites. En jpegli, que se publica como parte del mismo proyecto, está presente la misma vulnerabilidad. Sin embargo, el búfer relevante es parte de una estructura más grande y el código no hace suposiciones sobre los valores que se podrían sobrescribir. Sin embargo, el problema podría hacer que jpegli lea memoria no inicializada o direcciones de funciones.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/07/2025

Vulnerabilidad en libjxl (CVE-2024-11498)
Fecha de publicación:
25/11/2024
Idioma:
Español
Existe un desbordamiento del búfer de pila en libjxl. Un archivo creado específicamente puede hacer que el decodificador JPEG XL utilice grandes cantidades de espacio de pila (hasta 256 MB es posible, tal vez 512 MB), lo que podría agotar la pila. Un atacante puede crear un archivo que cause un uso excesivo de la memoria. Recomendamos actualizar a partir de el commit 65fbec56bc578b6b6ee02a527be70787bbd053b0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/07/2025

Vulnerabilidad en MLflow (CVE-2024-27134)
Fecha de publicación:
25/11/2024
Idioma:
Español
Los permisos de directorio excesivos en MLflow provocan una escalada de privilegios locales cuando se utiliza spark_udf. Un atacante local puede aprovechar este comportamiento para obtener permisos elevados mediante un ataque ToCToU. El problema solo es relevante cuando se llama a la API spark_udf() de MLflow.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2025

Vulnerabilidad en Vivo Mobile Communication Co., Ltd. (CVE-2020-12492)
Fecha de publicación:
25/11/2024
Idioma:
Español
El manejo inadecuado de la información WiFi por parte de los servicios del framework puede permitir que ciertas aplicaciones maliciosas obtengan información confidencial.
Gravedad CVSS v4.0: BAJA
Última modificación:
25/11/2024

Vulnerabilidad en Vivo Mobile Communication Co., Ltd. (CVE-2020-12491)
Fecha de publicación:
25/11/2024
Idioma:
Español
Control inadecuado de los permisos del servicio del framework con posibilidad de fuga de información confidencial del dispositivo.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/11/2024

Vulnerabilidad en Codezips E-Commerce Site 1.0 (CVE-2024-11663)
Fecha de publicación:
25/11/2024
Idioma:
Español
Se ha encontrado una vulnerabilidad clasificada como crítica en Codezips E-Commerce Site 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo search.php. La manipulación de las palabras clave del argumento conduce a una inyección SQL. El ataque se puede lanzar de forma remota. El exploit se ha hecho público y puede utilizarse.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/12/2024

Vulnerabilidad en eNMS (CVE-2024-11664)
Fecha de publicación:
25/11/2024
Idioma:
Español
Se ha encontrado una vulnerabilidad, que se ha clasificado como crítica, en eNMS hasta la versión 4.2. Este problema afecta a la función multiselect_filtering del archivo eNMS/controller.py del componente TGZ File Handler. La manipulación conduce a un path traversal. El ataque puede ejecutarse de forma remota. El exploit se ha hecho público y puede utilizarse. El parche se identifica como 22b0b443acca740fc83b5544165c1f53eff3f529. Se recomienda aplicar un parche para solucionar este problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
04/12/2024

Vulnerabilidad en IPP (CVE-2022-33861)
Fecha de publicación:
25/11/2024
Idioma:
Español
Las versiones del software IPP anteriores a la v1.71 no verifican suficientemente la autenticidad de los datos, lo que provoca que acepte datos no válidos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/11/2024

Vulnerabilidad en IPP (CVE-2022-33862)
Fecha de publicación:
25/11/2024
Idioma:
Español
El software IPP anterior a la versión 1.71 es vulnerable a la vulnerabilidad de credenciales predeterminadas. Esto podría llevar a los atacantes a identificar y acceder a los sistemas vulnerables.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/11/2024
Suscribirse a Vulnerabilidades